JANVIER 2018

Consulter le SIC papier

Le SIC papier existe également en version numérisé .pdf, à télécharger ci-dessous.

Historique

AddToAny
Share

Les nouvelles obligations en matière de protection des données personnelles

La législation relative à la protection des données personnelles existe depuis de nombreuses années en France et s’impose aux cabinets d’expertise comptable comme à toute entreprise.

Un nouveau règlement européen va bientôt entrer en vigueur. Il renforce les exigences en matière de protection des données personnelles et impose de nouvelles obligations aux responsables de traitement et aux sous-traitants

Premier aperçu de ces nouveautés au travers des questions-réponses ci-dessous.


a) Quel est le nom de la loi de 1978 ?
☐ La loi relative à l’informatique,  aux fichiers et aux libertés

☐ La loi sur le respect des données  personnelles

☐ Le Code de l’informatique  et des données personnelles


b)  Quelle est l’autorité française compétente en matière  de protection des données personnelles ?
☐ La CNIL

☐ La CEPD

☐ Le Conseil d’Etat


c) Quel est le nom du nouveau texte  de loi européen sur la protection  des données ?
☐ Le Règlement général sur la protection des données

☐ La Directive européenne de régulation de l’usage des données

☐ Le Règlement de régulation  de la protection des données

 

d) Quelle est la date d’application  du Règlement ?
☐ Le 1er janvier 2018

☐ Le 25 mai 2018

☐ Le 1er janvier 2019

 

e) En quoi consiste un traitement  de données personnelles ?
☐ Collecte de données personnelles

☐ Enregistrement de données personnelles

☐ Consultation de données personnelles

☐ Toute opération portant sur des données personnelles, quel que soit le procédé utilisé

 

f) Quelle est la bonne définition de la donnée personnelle parmi les suivantes ?
☐ Toute information se rapportant à une personne physique ou morale identifiée et identifiable

☐ Toute information se rapportant à une personne physique identifiée

☐ Toute information se rapportant à une personne physique identifiée et identifiable

 

g) Une intrusion (vol, suppression, hacking, phishing, etc.) dans les fichiers de votre cabinet contenant des données personnelles a eu lieu, dans quel délai la CNIL doit-elle être informée ?
☐ Dans les meilleurs délais

☐ Au plus tard 48 heures après l’intrusion

☐ Au plus tard 72 heures après l’intrusion

 

h) Combien de temps peut-on conserver les données personnelles ?
☐ Aussi longtemps que souhaité

☐ Tant que le contrat avec ces personnes est en cours

☐ Au-delà de la durée du contrat en respectant les durées légales ou en anonymisant les données, une fois la durée dépassée

 

i) Quelles sont les sanctions en cas de non-respect du règlement ?
☐ Un avertissement

☐ Une amende administrative de 4% du chiffre d’affaires au maximum

☐ Une mauvaise réputation

 

j) Le Règlement général est-il applicable aux données personnelles des salariés de vos cabinets d’expertise comptable ?
☐ Oui

☐ Non

 

k) Est-ce que le RGPD s’applique  aux données collectées auprès  de vos clients dans le cadre  de la mission d’établissement  des bulletins de paye ?

☐ Oui

☐ Non

 

Les bonnes réponses

a) Quel est le nom de la loi de 1978 qui traite des données personnelles en France ?

La loi relative à l’informatique, aux fichiers et aux libertés. Les principes décrétés en 1978 ont longtemps été une référence, mais avec le développement des nouvelles technologies (big data, Internet des objets etc.) d’autres textes ont été adoptés pour compléter la loi de 1978, notamment la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et la loi du 7 octobre 2016 pour une République numérique

 

b) Quelle est l’autorité française compétente en matière de protection des données personnelles ?

La CNIL. Elle est compétente pour traiter de la gestion des données personnelles par une entreprise dont l’établissement principal est en France. Le recours contre les décisions de la CNIL se fait devant le Conseil d’Etat. Le CEPD est le comité européen de la protection des données qui regroupe l’ensemble des autorités nationales compétentes en matière de données personnelles

 

c) Quel est le nom du nouveau texte de loi européen sur la protection des données ?

Le Règlement général sur la protection des données (RGPD). Il instaure un cadre commun de protection des données à l’échelle européenne. Contrairement à une directive, il est directement applicable dans tous les Etats membres. Il est applicable si le responsable du traitement des données personnelles (RT) ou le sous-traitant (ST) est établi sur le territoire de l’Union européenne ou s’ils mettent en œuvre des traitements de données visant à fournir des biens et des services aux résidents européens ou à les « cibler ». Les objectifs du règlement européen sont de renforcer les droits des individus (renforcement du consentement, droit d’accès, de rectification, d’opposition, droit à la portabilité) et de responsabiliser les entreprises. Les déclarations préalables auprès des autorités de contrôle, sauf exception, ne sont plus nécessaires mais de nouvelles obligations (tenue d’un registre des traitements, notification des failles de sécurité, délégué à la protection des données – DPO, études d’impact sur la vie privée) s’imposent aux entreprises.

 

d) Quelle est la date d’application du Règlement ?

Le 25 mai 2018 dans tous les pays de l’Union européenne. Les fichiers déjà mis en œuvre à cette date devront d’ici là être mis en conformité avec les dispositions du règlement.

 

e) En quoi consiste un traitement de données personnelles ?

Il s’agit de toute opération portant sur ces données, quel que soit le procédé utilisé : collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction. Le RGPD s’applique au traitement – automatisé ou non – des données à caractère personnel.

 

f) Quelle est la bonne définition de la donnée personnelle parmi les suivantes ?

Toute information se rapportant à une personne physique identifiée et identifiable. Les personnes morales ne sont pas concernées, leurs secrets relèvent du secret des affaires. Le règlement européen ne s’applique pas aux données anonymes qu’elles le soient initialement ou qu’elles aient fait l’objet d’une anonymisation.

 

g) Une intrusion (vol, suppression, hacking, phishing, etc.) dans les fichiers de votre cabinet contenant des données personnelles a eu lieu, dans quel délai la CNIL doit-elle être informée ?

Dans les meilleurs délais et au plus tard 72 heures après constatation de la violation sauf si le responsable de traitement démontre qu’il est peu probable que la violation engendre un risque pour les droits et libertés des personnes physiques. Si le délai de 72 heures est dépassé, la notification devra être complétée des motifs du retard. D’autres informations complémentaires pourront être transmises au fil de l’eau

 

h) Combien de temps peut-on conserver les données personnelles ?

Au-delà de la durée du contrat en respectant les durées légales ou en anonymisant les données, une fois la durée dépassée. La durée est fixée en fonction de l’utilité de la donnée au regard du but poursuivi. Il est donc possible de conserver les données au-delà de la durée du contrat dès lors que cette conservation n’excède pas les durées de la rétention légale (pendant la période de mise en cause de la responsabilité civile professionnelle par exemple).

 

i) Quelles sont les sanctions en cas de non-respect du règlement ?

En cas de violation mineure un avertissement. En cas de violation grave, une amende administrative prenant en compte la nature, la gravité, la durée de la violation ainsi que le caractère intentionnel mais également les circonstances atténuantes. Selon la catégorie de l’infraction, 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, 2% à 4% du chiffre d’affaires annuel mondial (le plus élevé des deux). Aux sanctions s’ajoute le risque de détériorer son image auprès des clients et le risque d’un recours collectif.

 

j) Le règlement général est-il applicable aux données personnelles des salariés de vos cabinets d’expertise comptable ?

Oui. Le règlement s’applique aussi bien aux clients du cabinet qu’aux salariés du cabinet. Il faudra mettre en œuvre des procédures afin d’assurer la sécurité des données personnelles des salariés, leur information et le respect de leurs droits.

 

k) Est-ce que le RGPD s’applique aux données collectées auprès de vos clients dans le cadre de la mission d’établissement des bulletins de paye ?

Oui, les clients vous transmettent pour réaliser cette mission des données personnelles concernant des personnes physiques salariées de ces derniers.

 

A LIRE PROCHAINEMENT

Comment vous préparer à l’entrée en vigueur du règlement européen ?

Parcourir l'historique du SIC :

ABONNEZ-VOUS AU SIC NUMERIQUE

Le SIC Numérique parait mensuellement, à l’instar de son homologue papier. Pour être averti par mail de la publication d’un nouveau numéro, abonnez-vous !
ABONNEZ-VOUS AU SIC NUMERIQUE
Le SIC Numérique parait mensuellement, à l’instar de son homologue papier. Pour être averti par mail de la publication d’un nouveau numéro, abonnez-vous !

Toutes les parutions

JUIN 2018

SIC N° 374

  • 73e Congrès : Stratégie et compétences pour la croissance
  • Règlement général sur la protection des données : tenez-vous prêts !
  • Le site internet de l'Ordre fait peau neuve !

Consulter

MAI 2018

SIC N°373

  • Gestion des données personnelles et RGPD
  • 73e Congrès : cabinet, missions et marchés !
  • Déclaration annuelle des papiers : êtes-vous prêts ?

Consulter

AVRIL 2018

SIC N°372

  • Bilan 2017 des TPE-PME françaises
  • Les fidélité des clients envers leur expert-comptable
  • Le triple A du Leader : ambitieux, anthentique, attachant !

Consulter

MARS 2018

SIC N°371

  • 10 commandements pour se prémunir de la cybercriminalité
  • 73e Congrès : stratégie et compétences pour la croissance
  • Le 73e Congrès ; un rendez-vous en terre d'exception à ne pas manquer

Consulter